𝗡𝗣𝗠 𝗦𝘂𝗽𝗽𝗹𝘆 𝗖𝗵𝗮𝗶𝗻 𝗔𝘁𝘁𝗮𝗰𝗸 𝗗𝗲𝘁𝗲𝗰𝘁𝗲𝗱: 𝗠𝗮𝗹𝗶𝗰𝗶𝗼𝘂𝘀 𝗩𝗲𝗿𝘀𝗶𝗼𝗻 𝗼𝗳 𝗣𝗼𝗽𝘂𝗹𝗮𝗿 𝗣𝗮𝗰𝗸𝗮𝗴𝗲 𝗥𝗲𝗹𝗲𝗮𝘀𝗲𝗱
👨💻 Une menace de sécurité massive vient de frapper le monde des développeurs :
Une version malveillante du package populaire @ctrl/tinycolor (avec 2,2 M de téléchargements hebdomadaires !) a été publiée.
💀 Ce qu'elle fait :
Exécute un script caché de vol d'informations juste après l'installation
Cible des données sensibles en utilisant TruffleHog
Pourrait compromettre vos projets & données personnelles instantanément
🔥 Si vous avez installé ou mis à jour récemment :
✅ Arrêtez immédiatement les installations/ mises à jour
✅ Vérifiez votre version & verrouillez-la à une version sûre
✅ Avertissez votre équipe avant que cela ne se propage davantage
Ceci est un autre rappel : Les attaques de la chaîne d'approvisionnement deviennent de plus en plus effrayantes chaque jour.
👉 Développeurs, avez-vous déjà été touchés par un package malveillant auparavant ?
Partagez vos pensées 👇 — sensibilisons avant que d'autres projets ne soient compromis !